设置 NetScaler Gateway 以便在 Microsoft Endpoint Manager 中使用 Micro VPN
Citrix Micro VPN 与 Microsoft Endpoint Management 集成使您的应用程序能够访问本地资源。有关详细信息,请参阅Citrix micro VPN 与 Microsoft Endpoint Manager 的集成。
系统要求
- NetScaler Gateway 版本
- 13.1
- 13.0
- 12.1.50.x 或更高版本
- 12.0.59.x 或更高版本
您可以从 NetScaler Gateway 下载页面下载最新版本的 NetScaler Gateway。
运行 Windows 7 或更高版本的 Windows 桌面(仅适用于 Android 应用程序打包)
- Microsoft
- Azure AD 访问权限(具有租户管理权限)
- 启用了 Intune 的租户
- 防火墙规则
- 为从 NetScaler Gateway 子网 IP 到
*.manage.microsoft.com、https://login.microsoftonline.com和https://graph.windows.net(端口 443)的 SSL 流量启用防火墙规则 - NetScaler Gateway 必须能够从外部解析上述 URL。
- 为从 NetScaler Gateway 子网 IP 到
必备条件
Intune 环境:如果您没有 Intune 环境,请设置一个。有关说明,请参阅Microsoft 文档。
Edge 浏览器应用程序:Micro VPN SDK 集成在适用于 iOS 和 Android 的 Microsoft Edge 应用程序和 Intune Managed Browser 应用程序中。有关托管浏览器的详细信息,请参阅 Microsoft托管浏览器页面。
Citrix Endpoint Management 权限:确保拥有有效的 Citrix Endpoint Management 权限,以便在 Microsoft Edge 移动浏览器(iOS 和 Android)上继续支持 micro VPN SDK。有关详细信息,请联系您的销售、客户或合作伙伴代表。
授予 Azure Active Directory (AAD) 应用程序权限
同意 Citrix 多租户 AAD 应用程序以允许 NetScaler Gateway 使用 AAD 域进行身份验证。Azure 全局管理员必须访问以下 URL 并征得同意:
同意 Citrix 多租户 AAD 应用程序以允许移动应用程序使用 NetScaler Gateway 微型 VPN 进行身份验证。仅当 Azure 全局管理员将默认值更改为“用户可以注册应用程序”从“是”更改为“否”时,才需要此链接。 此设置可以在 Azure 门户中的 AzureActive Directory > 用户 > 用户设置下找到。 Azure 全局管理员必须访问以下 URL 并征得同意(添加 租户 ID)https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7。
为微型 VPN 配置 NetScaler Gateway
要将 Micro VPN 与 Intune 结合使用,必须将 NetScaler Gateway 配置为对 Azure AD 进行身份验证。现有的 NetScaler Gateway 虚拟服务器不适用于此用例。 首先,将 Azure AD 配置为与本地 Active Directory 同步。此步骤对于确保 Intune 与 NetScaler Gateway 之间正确进行身份验证是必要的。
下载脚本:.zip 文件包含自述文件,其中包含实现脚本的说明。您需要手动输入脚本所需的信息,然后在 NetScaler Gateway 上运行脚本来配置服务。您可以从NetScaler 下载页面下载脚本文件。
重要:完成 NetScaler Gateway 配置后,如果看到 OAuth 状态而不是完成,请参阅故障排除部分。
配置 Microsoft Edge 浏览器
- 登录到https://endpoint.microsoft.com/,然后导航到Intune > 移动应用程序。
- 像往常一样发布 Edge 应用程序,然后添加应用程序配置策略。
- 在管理下,单击应用程序配置策略。
- 单击添加,然后为要创建的策略输入名称。在设备注册类型中,选择托管应用程序。
- 单击关联应用程序。
- 选择要应用策略的应用程序(Microsoft Edge 或 Intune 托管浏览器),然后单击“确定”。
- 单击配置设置。
- 在名称字段中,输入下表中列出的策略之一的名称。
- 在值字段中,输入要为该策略应用的值。单击该字段以将策略添加到列表中。可以添加多个策略。
- 单击确定,然后单击添加。
该策略将添加到您的策略列表中。
| 名称 (iOS/Android) | 值 | 说明 |
|---|---|---|
| MvpnGatewayAddress | https://external.companyname.com |
NetScaler Gateway 的外部 URL |
| MvpnNetworkAccess | MvpnNetworkAccessTunneledWebSSO 或 Unrestricted | mvpnNetworkAccess unneledWebSSO 是通道的默认设置 |
| MvpnExcludeDomains | 要排除的域名的逗号分隔列表 | 可选。默认值 = 空白 |
注意:Web SSO 是设置中 Secure Browse 的名称。该行为是相同的。
MvpnNetworkAccess- MvpnNetworkAccessTunneledWebSSO 通过 NetScaler Gateway(也称为通道 Web SSO)启用 HTTP/HTTPS 重定向。网关内联响应 HTTP 身份验证质询,提供单点登录 (SSO) 体验。要使用 Web SSO,请将此策略设置为MvpnNetworkAccessTunneledWebSSO。目前不支持全通道重定向。使用“不受限制”可关闭微型 VPN 通道。
MvpnExcludeDomains-要排除通过 NetScaler Gateway 反向 Web 代理路由的主机或域名的逗号分隔列表。即使 NetScaler Gateway 配置的拆分 DNS 设置可能会选择域或主机,也会排除主机或域名。
注意:
此策略仅适用于MvpnNetworkAccessTunneledWebSSO连接。如果设置
MvpnNetworkAccess为“不受限制”,则忽略此策略。此策略仅适用于配置为反向拆分通道的 NetScaler Gateway 的通道-Web SSO 模式。
故障排除
常规问题
| 问题 | 解决方案 |
|---|---|
| 打开应用程序时,将显示“需要添加策略”消息 | 在 Microsoft Graph API 中添加策略 |
| 存在策略冲突 | 每个应用程序只允许使用一个策略 |
| 打包应用程序时会出现“无法打包应用程序”消息。有关完整消息,请参阅下表 | 该应用程序已与 Intune SDK 集成在一起。您不需要用 Intune 包装应用程序 |
| 您的应用无法连接到内部资源 | 确保打开了正确的防火墙端口、更正了租户 ID 等 |
无法打包应用程序错误消息:
无法打包应用程序。com.microsoft.intune.mam.apppacker.utils.apppacker.Utils.apppackageRexeption:此应用程序已经集成了 MAM SDK。 commicrosoft.intune.mam.apppacker.apppacker.apppacker.packageApp(应用程序包 .java:113) commicrosoft.intune.mam.apppacker.Packer.Packer.main.main 内部(包装主 .java:198) com.microsoft.intune.mam.apppacker.Package.Package.Package.PackageMain (包装主 .java:56) 应用程序不能被包裹起来。
NetScaler Gateway 问题
| 问题 | 解决方案 |
|---|---|
| 为 Azure 上的网关应用程序配置所需的权限不可用。 | 检查是否有适当的 Intune 许可证可用。尝试使用manage.windowsazure.com门户来查看是否可以添加权限。如果问题仍然存在,请与 Microsoft 支持部门联系。 |
NetScaler Gateway 无法访问login.microsoftonline.com and graph.windows.net。 |
从 NS Shell,检查您是否能够访问以下 Microsoft 网站:cURL -v -khttps://login.microsoftonline.com。然后,检查是否在 NetScaler Gateway 上配置了 DNS。还要检查防火墙设置是否正确(如果 DNS 请求被防火墙处理)。 |
| 配置 OAuthAction 后,ns.log 中会出现错误。 | 检查 Intune 许可是否已启用,以及 Azure 网关应用程序是否设置了适当的权限。 |
| Sh OAuthAction 命令不会显示 OAuth 状态为完成。 | 检查 Azure Gateway 应用程序的 DNS 设置和配置权限。 |
| Android 或 iOS 设备不显示双重身份验证提示。 | 检查双重设备 ID 登录架构是否绑定到身份验证虚拟服务器。 |
NetScaler网关OAuth 状态和错误情况
| 状态 | 错误情况 |
|---|---|
| AADFORGRAPH | 密钥无效、URL 未解析、连接超时 |
| MDMINFO | *manage.microsoft.com已关闭或无法访问 |
| GRAPH | 图形端点已关闭,无法访问 |
| CERTFETCH | https://login.microsoftonline.com由于 DNS 错误,无法与“令牌终端节点:”对话。要验证此配置,请转到 shell 并键入 cURLhttps://login.microsoftonline.com。此命令必须验证。 |
注意:当 OAuth 状态成功时,状态将显示为“完成”。